Entra IDから、SalesforceのSandboxへのSSOの設定

おはようございます、いつきです。

Entra IDからSalesforceの検証をするにあたり、SandboxにSSOの設定をしてみたのですが、うまくいかなかったので、その備忘録です。

以下の設定から変更した内容だけ共有します。

チュートリアル: Microsoft Entra SSO と Salesforce Sandbox の統合

今回の原因はユーザーIDの紐づけがうまくいかなかったことでした。
SandboxはIDの後ろにSandboxの名前がつきますが、デフォルトの手順だとそれが反映されていない模様でした。
件名のところにユーザー名が記載されていたことで原因がわかりました。

対応として以下の2つになります。

• Salesforceのユーザーの統合IDにメールアドレスを指定する。

• Entra IDのSSO設定の、属性とクレームを変更する。

Salesforceのユーザーの統合IDにメールアドレスを指定する

Salesforceのユーザーの項目に「統合ID」があります。
こちらをSSOで利用するユーザー名に変更してください。

その上で、SAML シングルサインオン構成の「SAML ID種別」の値を「アサーションには、ユーザーオブジェクトの統合IDが含まれます」を選択します。

Entra IDのSSO設定の、属性とクレームを変更する

Entra ID側の設定を変更する方法です。
連携するユーザーIDを直接変更してしまう方法です。
属性とクレームの「一位のユーザー識別子」の値を以下のように変更します。

Join (user.userprincipalname, "", "@<ドメイン>.<Sandbox名>") 

現状にあわせて判断を

統合IDをすでに利用しており、それがSSOで利用するログインIDと同一なら、統合IDを利用した方が良いと思います。

一方で、本番と合わせるなら統合IDは使わないで済むので、属性とクレームを利用する方法が良さそうです。統合IDの一括変更もデータローダーなどを使えばそこまで大変ではないと思いますが、このためだけに入れるのも面倒ですし。Sandboxをめちゃくちゃ作るとかなら統合IDを入れておいた方が楽かも？

いずれにしてもSalesforceの状況に応じて選択すれば良さそうです。

ということで今回はSSOの設定で躓いたのでその備忘録・紹介でした。少しでも役に立てれば幸いです！

それではまた来週！